当前位置:台州广播电影电视集团(总台) > 科研论着

有线电视综合网络系统的安全策略

文章来源:五年飞飏之创新之源(上) 发布于:2012-09-13 阅读:8838次

  摘要:有线电视网正逐步发展成为宽带综合信息网,作为面向公众营运的综合信息网络,必须重视网络的安全性设计。简要介绍有线电视网络在规划构建时应采用的各种安全技术和措施。
  关键词:有线电视;网络系统;安全策略
  
  1引言
  我国有线电视网是我国广播电视事业中的重要组成部分,正向产业化的方向迈进,已经成为人民群众收看电视信息的重要手段。然而,随着有线电视的发展,它越来越面临一个大难题,那就是有线电视的网络安全问题。这个问题甚至影响了社会的安定,它的解决已经刻不容缓。
  根据有线电视网络系统的设计,为保证系统各类信息在存取、处理和传输中的完整性、机密性、可审计性、可用性和可控性,以及网络系统自身的可靠性、完整性和可用性,需全方位考虑设计网络系统的安全方案。为保证该网络系统安全方案的制定尽可能全面和合理,下面将制定出网络系统各个级别的安全策略。
  2有线中心系统安全设计
  2.1服务器群集技术
  数据中心的服务器采用双机Cluster来提高系统的安全性,双机系统通过采用群集(Cluster)技术,将两个或多个服务器连接到一个“群集”中,从而提供了低成本、可扩充、高可用性的解决方案,并且使用服务器的资源更加易于管理,如图1所示。它还具有透明的故障克服能力,当一台服务器出现故障(CPU、电源、内存、主板)或一条通信链路出现故障(网络跳线出错、异常关机)时,系统依然能正常稳定运行。
   
   
   图1  图1群集技术示意图
  2.2磁盘阵列技术
  磁盘镜像备份技术的时代已经过去,应在网络数据中心采用磁盘阵列技术,以确保数据安全,提高系统可靠性。磁盘阵列技术是继磁盘镜像之后的一种新型数据备份技术,它是采用多块物理硬盘通过磁盘阵列控制卡组成的逻辑磁盘组。组成磁盘阵列至少需要3块物理硬盘,根据实际情况可以考虑使用多个磁盘阵列通道,每个通道惯技2块硬盘。在一个磁盘阵列中有多块物理硬盘,如果某一个物理硬盘发生物理性损坏,决不会造成数据丢失。
  3防火墙安全设计
  建设成功的有线电视宽带信息网络是一个营运级信息网络,开展的业务包括:IDC(数据中心)业务、主机托管、域名申请、Internet接入、视频会议、IP电话等。为了保证信息网的数据安全,应在方案规划中采用防火墙技术,使宽带信息网安全可靠地运行。
  防火墙技术的核心思想是在不安全的网间环境中构造一个相对安全的子网环境。防火墙(Firewall)是内部网与外部之间的“门户”,对两者之间的交流进行全面管理,以保障内部和外部之间安全、通畅的信息交换。防火墙采用包过滤、电路网关、应用网关、网络地址转化、病毒防火墙、邮件过滤等技术,使用外部网无法知晓内部网的情况,对用户使用网络有严格控制和详细记录。
  防火墙的实现方式有两种,既基于包过滤(PacketFilter)的防火墙和基于代理(Proxy)的防火墙。包过滤型防火墙处在网络层,根据IP包的包头信息来对信息的访问进行控制。IP包的包头包括以下信息:IP包的源地址、目的地址、包类型、端口号,因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙,也叫应用层防火墙或层防火墙,处于应用层,可对IP地址和发生在该IP地址上的具体应用进行控制,由于它能识别应用协议,可对应用的整个过程进行控制。
  防火墙安全防范系统的功能有:控制不安全的服务、站点访问控制、集中安全保护、强化私有权、网络连接的日志记录及使用统计等。
  3.1控制不安全的服务
  防火墙可以控制不安全的服务,因为只有授权的协议和服务才能通过防火墙。这就大大降低了子网的暴露度,从而提高了网络的安全度。防火墙还能防止基于路由的攻击策略,防火墙会拒绝这种攻击试探并将情况通知系统管理员。
  3.2站点访问控制
  防火墙还提供了对站点的访问控制,比如,从外界可以访问某些主机,而另一些主机则能有效地防止非法访问。一个站点应该拒绝外部的访问,除了一些特殊情形,比如邮件服务和信息服务等。由于防火墙不允许访问不需要访问的主机或服务,它在网络的边界形成了一道关卡。如果一个用户很少提供网络服务,或几乎不跟别的站点打交道,防火墙就是他保护自己的最好选择。
  3.3集中安全保护
  如果一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中,而不是分散到每个主机中,这样防火墙的保护就相对集中一些,也相对便宜一些。尤其对于密码口令系统或其他的身份认证软件等,放在防火墙系统中更是优于放在每个Internet能访问的机器上。
  3.4强化私有权
  对一些站点而言,私有性是很重要的,因为,某些看似不甚重要的信息往往会成为攻击者灵感的源泉。使用防火墙系统,站点可以防止Finger(特指数据搜索)以及UNS域名服务。Finger会列出当前使用者名单、他们上次登录的时间、以及是否读过邮件等等。
  Finger同时会不经意地告诉攻击者该系统的使用频率、是否有用户正在使用、以及是否可能发动攻击而不被发现。防火墙也能封锁域名服务信息,从而使Internet外部主机无法获取站点名和IP地址。通过封锁这些信息,可以防止攻击者从中获得另一些有用信息。
  3.5网络连接的日志记录及使用统计
  当防火墙系统被配置为所有内部网络与外部Internet连接均需经过的安全系统时,防火墙系统就能够对所有的访问做出日志记录。日志是对一些可能的攻击进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计,通过对统计结果的分析,可以使网络资源得到更好的使用。
  4网络操作系统的安全控制
  网络操作系统安全控制是通过对主体标识和客体标注,划分安全级别和范畴,实现由系统对主客体之间的访问关系进行强制性控制。基于安全服务环境的身份鉴别可防止非法用户进入系统。严格的访问控制机制,严格按权限检查各类人员的各种访问要求,防止进入系统的合法用户越权访问不该访问的数据。在有线电视宽带信息网解决方案中无论采用何种操作系统(如WindowsNT,Unix等),都能提供如下安全控制体系:
  三权分离机制:将普通用户、系统管理员、安全员三者的权限限制在其完成自身任务的最小范围,从而最大限度地减少内部人员产生问题的可能性。
  安全审计机制:对安全有关的事件进行跟踪、记录、报警,供有关人员进行分析,便于安全漏洞的检查和弥补。
  系统软件的安全控制:提供一个安全管理策略问题,可以在系统实施中加以明确。例如:在数据库权限设计时,为提高系统的安全性,应多采用视图等;在部分安全性要求较高的地方,还应采用加密等方法保证信息的安全性。
  5网络监控系统的安全设计
  网络监控系统主要是为了防止非法信号的干扰。
  管理手段落后、收费困难、网络无安防措施是长期困扰众多有线电视台的一个不容忽视的大问题。相对而言,电信在这几个方面技术要成熟得多,情况也好得多,关键在于其先进的技术与现代化管理,由此产生的自觉缴纳费用的意识。电信的技术、思想和原则完全可以借鉴,成为有线电视网络的技术思想和原则。
  其总体原则是:
  (1)具备电信运营所要求的高效益(高回收率)、高可靠性、高性能、高安全性,设备要具有先进性与成熟性,并可在先进的有线电视HFC网络平台上实现收费管理。
  (2)系统要具备开放性、可扩展性、战略上的灵活性,能随着市场的发展和技术的进步平滑升级。
  (3)性价比要高。技术水平、性能、功能在国内外处于领先水平,设计出价廉物美的产品供应市场,从而改变有线电视网络在管理收费和安防监控方面的落后现状。
  (4)技术上必须先进,对运营的可靠性和稳定性要求很高,特别对非法入侵的垃圾频道不能让用户收看和收听,能监控出事地点,从而迅速抓获破坏分子。
  (5)采用随机同步压缩、随机倒相的加扰方式,在帧同步时加入严格的标识码或台标,达到自动区别非法频道窜入。相对其他加扰方式,此方式非常可靠而且不影响图像正程部分,因而其图像还原质量最好。
  (6)将原机顶盒这种“家用电器”变为集线控制分别解扰方式的“网络设备”,这样外来非法信号绝对进入不了用户家庭,安全性极高,想破解也极难。
  6结束语
  有线电视综合信息网络系统的完善尚需要一个较长的时间,在这个过程中,有很多技术会随着信息技术的发展得到新的提高,有线电视信息网络的建设一定会迎来一个美好的明天。
  参考文献:
  曾铭涛.计算机网络技术在广播电台自动化播出系统中的应用[J].电声技术,2002,(4):71–72.
  孙友伟.下一代有线数字电视网络BOSS的安全策略[J].电视技术,2005,(9):1–3.
  (发表于《中国有线电视技术》2008年第7期)

首页 上一页 1 下一页 尾页